Antworten auf Ihre häufigsten Fragen

Wie kann ich meinen Mailserver unter Windows verschlüsseln?

Die mit Plesk ausgelieferte Basisversion des Mailenable-Mailservers bietet keine SSL-Unterstütztung. Wenn Sie aber dennoch die Kommunikation mit Ihrem Mailserver verschlüsseln möchten können Sie hierzu das unter der GPL veröffentlichte Open Source Programm stunnel nutzen und mit diesem als Workaround einen SSL-Tunnel realisieren. Bitte beachten Sie, dass wir für Schäden oder Probleme, die durch Drittanbietersoftware entstanden sind, keine Verantwortung übernehmen oder Hilfestellung anbieten können.

Bitte prüfen Sie vor der Einrichtung von stunnel in jedem Fall, ob in Ihrem Mail-Enable-Manager, oder in Plesk die IP-Adressen 127.0.0.1 oder ::1 (localhost) in der Mailserver-Whitelist stehen. Sind die erwähnten IP-Adressen in der Whitelist vorhanden, so kann Ihr Server durch unberechtigte Dritte zum Spamversand missbraucht werden. Bitte löschen Sie diese IP-Adressen daher, bevor Sie stunnel auf Ihrem Server für den Mailserverdienst verwenden möchten.

Wird über stunnel eine Verbindung zu Ihrem SMTP-Server hergestellt, so meldet sich stunnel bei Ihrem Mailserverdienst mit der localhost IP-Adresse. Haben Sie die localhost-Adressen in die Mailserver-Whitelist eingetragen, so können über diese IP-Adressen Mails ohne vorherige Authentifizierung versandt werden, wodurch Ihr Server beim Mailversand über stunnel als Open-Relay agiert.

Installations-Kurzanleitung:

  1. Laden Sie die Software über die Webseite www.stunnel.org herunter.
  2. Installieren Sie die Software auf Ihrem Server. Sie können problemlos im Installationsdialog die Standardoptionen wählen.
  3. Platzieren Sie Ihr SSL-Zertifikat im *.pem-Format im Konfigurationsverzeichnis (Standard: C:\Program Files (x86)\stunnel\config). Eine *.pem-Version Ihres SSL-Zertifikats können Sie beispielsweise aus Ihrer Plesk-Umgebung oder aus der SSL-Verwaltung des KIS herunterladen.
  4. Passen Sie Konfiguration der stunnel-Applikation Ihren Bedürfnissen an (Standard: C:\Program Files (x86)\stunnel\config\stunnel.conf). Relevant ist hier insbesondere in der Sektion "TLS server mode services" der Parameter "cert", bei dem Sie auf Ihre oben genannte Zertifikatsdatei verweisen müssen.
  5. Löschen Sie die durch stunnel angelegten Default-Firewallregeln und legen Sie passende eigene Regeln für die gewünschten Dienste an, üblicherweise ist dies beim Mailserverbetrieb: 465 TCP für SMTPS // 993 TCP für IMAPS // 995 TCP für POP3S
  6. Die Freigabe müssen Sie für die stunnel.exe-Datei erteilen (Standard: C:\Program Files (x86)\stunnel\bin\stunnel.exe).
  7. Richten Sie optimalerweise stunnel als Dienst ein und starten Sie diesen.

Rebootfeste Konfiguration/Einrichtung als Systemdienst:

Damit der SSL-Tunnel auch nach einem Neustart Ihres Servers umgehend zur Verfügung steht sollten Sie diesen als Dienst installieren. Öffnen Sie dazu die Kommandozeile (Start -> cmd.exe), navigieren Sie in das Verzeichnis der stunnel.exe (Befehl: cd C:\Program Files (x86)\stunnel\bin) und geben Sie dort folgenden Befehl ein: stunnel -install Anschließend sollten Sie die Windows Diensteverwaltung öffnen (Start -> services.msc), dort den Dienst "Stunnel SSL wrapper" öffnen und sicherstellen, dass dieser gestartet ist und der Starttyp auf "Automatisch" gesetzt ist.

Zu konfigurierende Ports im E-Mail Client:

Im E-Mail Client aktivieren Sie für den Posteingangsserver (IMAPS) SSL/TLS Port 993, Verschlüsseltes Passwort senden und für den Postausgangsserver SMTP Server SMTPS Port 465 SSL/TLS, Passwort normal.

Beispielkonfiguration:

Folgende Beispielkonfiguration können Sie einsetzen, wenn Sie IMAPS, SMTPS und POP3S nutzen möchte. Hier müssen Sie lediglich noch den Platzhalter "ihr-Zertifikat.pem" gegen Ihre Zertifikatsdatei auswechseln und die notwendigen Firewall-Regeln anlegen: stunnel.conf

Troubleshooting:

  • Stellen Sie sicher, dass Sie die korrekte Zertifikatsdatei ausgewählt haben
  • Achten Sie darauf, dass die Ports 465, 993 oder 995 nicht von Ihrem Mailserverdienst direkt blockiert werden - bei dem hier angestrebten Setup nimmt ausschließlich Ihr stunnel-Dienst entsprechende Verbindungen auf den genannten Ports entgegen und schleust diese an die Standardports Ihres Mailservers (25, 110 und 143) durch.
  • Wenn es zu Startproblemen des Dienstes kommt versuchen Sie diesen einmal manuell über C:\Program Files (x86)\stunnel\bin\stunnel.exe zu starten. Hier sehen Sie dann eine Konsole, welche Sie im Fehlerfall über die Ursachen informieren sollte.


otto.friedrich@hosteurope.de xanthippe.ypsilante@hosteurope.de hercules.ikarus@hosteurope.de